Налоги и налогообложение Кыргызстана

На сегодняшний  день реализация пиратских программных  продуктов, мошенничество, коррупция, хищение и распространение порнографии  становятся довольно популярными видами преступлений. Можно ожидать, что с популяризацией и развитием компьютерных сетей их негативные стороны станут все более очевидными: с одной стороны, увеличивается число информационных преступлений, с другой – увеличивается число преступлений, связанных с использованием компьютера. Например, происходит распространение в Интернете различных способов совершения правонарушения, таких, как мошенничество, манипуляция с ценами на фондовых биржах, разработка компьютерных вирусов, разрушающих производственный и технологический процесс, и т.д. На наш взгляд, для того чтобы решить комплекс проблем, эффективно вести борьбу с компьютерными правонарушениями и посягательствами на авторские и смежные права, опасной информацией, необходимо в полном объеме использовать юридические инструменты для профилактики и противодействия, улучшить контроль за информационными сетями.

5.3. Информационная безопасность Web сайта

Защита компьютерной информации представляет собой наиболее общее понятие и чрезвычайно  сложна. В общепринятом понимании компьютерная защита объединяет такие вещи как контроль санкционированного (несанкционированного) доступа, управление учетными записями и привилегиями пользователя, защиту от копирования, от вирусов и защиту базы данных. К защите компьютерной информации так же относятся защита от подсоединения других пользователей через сеть, от подбора пароля и проникновения вирусов в систему. В настоящее время понятия компьютерной безопасности и безопасности в сети практически слились воедино. Проблемы, связанные с защитой информации при персональном доступе в системах совместного использования стоят на первом месте. Например, в Интернете существует ряд серьезных проблем связанных с информационной безопасностью, которые могут привести к катастрофе сайтов. Ошибки при проектировании протоколов TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенными сайты, уязвимыми к действиям злоумышленников.

При выборе политики безопасности в компьютерной системе учитываются следующее:

1. Определяется целостность информации и производится анализ угроз для информации и информационного обмена;
2. Определяются правила и права доступа к информации с учетом ценности информации.

При этом, рассматривая проблемы, связанные с защитой данных в сети, учитываются возможности несанкционированного доступа, что ведет к потере или нежелательному изменению данных. Потери информации (из-за неправильного хранения архивных данных, нарушений прав доступа к данным), некорректная работа пользователей и обслуживающего персонала и т.п. При этом большое внимание уделяется инфицированию компьютерными вирусами. При работе на персональном компьютере в сети первое, с чем сталкивается пользователь – это вирусы. Даже если компьютер не подключен к сети вероятность заражения его вирусом – 60%. Это дискеты, лазерные диски, flash память.

Компьютерный  вирус это программа, способная  самовоспроизводиться и присоединяться к другим программам, заражая их, распространяться по сети и выполнять  команды, способные уничтожать или изменять информацию, находящуюся не только на компьютере,  но и в локальной сети и сети Интернет. Многие разновидности вирусов при запуске зараженной программы размещаются в памяти компьютера и заражают другие программы, а затем наносят серьезные повреждения информации, находящейся на компьютере (удаляют загрузочный сектор диска, сдвигают таблицы файлов FAT, форматируют диски и т.п.). Другие наносят повреждения сети Интернет (разрушают электронные почтовые ящики, сайты). Веб-сайт представляет собой одну из составляющих корпоративной инфраструктуры. Согласно данным, приведенным компанией PositiveTechnologies, большинство хакерских атак (более 50%) приходится именно на веб-сайты. Каждый день регистрируются десятки взломов. Отказ от веб-сайта равносилен значительному снижению конкурентоспособности Вашей организации. Поэтому сайты всегда будут разрабатывать, стремясь сделать их работу все более эффективной и функциональной. Многие компании с особым вниманием рассматривают вопросы безопасности, так как современные прогрессивные темпы развития и деятельность в конкурентной среде не оставляют другого выбора.

Обезопасить компанию от всевозможных угроз и неприятностей  можно за счет:

оптимального  выбора системы управления контентом  сайта (CMS);

использования хостинга, обладающего достаточной надежностью;

применения  необходимого серверного программного обеспечения;

своевременных мероприятий, позволяющих минимизировать возможность появления непредвиденных проблемных ситуаций на веб-сайтах.

Одной из основных задач является обеспечение эффективной и надежной защиты от различных хакерских атак, попыток взлома и хищения информации с сайта. Система управления сайтом «1C-Битрикс», оснащена модулем «Проактивная защита», который содержит комплекс мероприятий, предназначенных для защиты интернет-ресурса и различных приложений.На одном из фестивалей по инициативе компаний PositiveTechnologies и «1C-Битрикс» был организован конкурс. Его участникам предлагалось взломать сайт, оснащенный «Проактивной защитой». При этом специально были созданы уязвимые места, соответствующие ошибкам, допущенным при разработке сайта. Главной целью конкурса являлась проверка функционирования «Проактивной защиты» в сложившихся тяжелейших условиях. Свыше 600 специалистов пытались обойти систему «Проактивной защиты», среди которых были и участники фестиваля, и многие желающие, принимающие участие в конкурсе через интернет. Результаты конкурса были проанализированы экспертами в области веб-безопасности. В итоге только одному участнику удалось выполнить задачу конкурса за счет использования недостатков web-браузера InternetExplorer. Его вариант обходил не только применяемый WAF, но и другие фильтры известных разработчиков. Данное мероприятие позволило выявить имеющиеся недостатки, внести необходимые поправки в функции фильтра и за счет этого модернизировать функционирование системы. Компания «1С-Битрикс» не останавливается на достигнутом результате и постоянно работает над усовершенствованием своего продукта, который на данный момент не имеет достойных аналогов.

«Проактивная  защита» — это весомое дополнение, направленное на решение задачи безопасности продукта. Этим модулем оснащены все  существующие редакции продуктов «1С-Битрикс: Управление сайтом» (за исключением  Старта) и «1С-Битрикс: Корпоративный портал». Впервые «Проактивная защита» и фильтр внедрены непосредственно в продукт.

«Проактивная  защита» является результатом многолетней  кропотливой работы компании и олицетворяет инновационный подход в области  веб-безопасности. Она позволяет  существенно повысить эффективность защиты от различных хакерских атак и уменьшить зависимость владельцев сайтов от практически регулярных ошибок веб-разработчиков.

Для осуществления  борьбы с компьютерными вирусами наиболее часто применяются антивирусные программы, программы – фильтры, программы – антиспамы, применяемые на Web серверах, реже - аппаратные средства защиты. В настоящее время применяется сочетание программных и аппаратных методов защиты. На уровне аппаратных устройств используются специальные антивирусные платы, вставленные в стандартные слоты расширения компьютера. На уровне программного обеспечения – антивирусные программы. Это программы, способные обнаружить и уничтожить вирус. В базах данных, которых хранится множество «образцов» вирусов. Через определенное время банк данных антивирусных программ может пополняться через Интернет.

К наиболее популярным антивирусным программам относятся  программы: NortonAntivirus, Dr.Web, NOD32, Антивирус Касперского.

Следующий фактор, при котором информация подвергается атаке это НСД – несанкционированный доступ к информации. Несанкционированный доступ представляет собой  доступ лиц, не имеющих разрешения доступа к конфиденциальной информации, хранящейся на компьютерах или в компьютерной сети. При  анализе  общей проблемы безопасности информации выделяются те направления,  в которых преднамеренная или  непреднамеренная  деятельность  человека,  а  также неисправности технических средств,  ошибки программного обеспечения могут привести к утечке, модификации или уничтожению информации. Для защиты информационных систем от несанкционированного доступа используются технические и организационные меры.

К техническим  мерам относятся: использование  защищенных подключений, использование  межсетевых экранов, разграничение  уровней доступа к информации между пользователями, использование средств шифрования в соответствии с разными уровнями конфиденциальности обрабатываемой информации;

К организационным  мерам относятся: выработка единых требований и правил безопасного  использования информационных ресурсов, определение единой структуры документооборота конфиденциальной информации.

Для реализации мер по защите информации устанавливаются  четыре уровня контроля: первый самый  высокий – государственный уровень, отнесенный к государственной тайне, четвертый – к конфиденциальной информации частного характера. Для каждого уровня контроля создается свое программное обеспечение, например программы по шифрованию и дешифрованию информации, брандмауэры, защищающие доступ к информации и т.п., например программа, позволяющая на определенном уровне защитить информацию: eTrustFirewall – брандмауэр (межсетевой экран), быстро и эффективно защищающий компьютерную сеть организации от несанкционированного доступа.

Для начала поговорим  о самой сути вещей. На сегодняшний момент сайт это часть инфраструктуры предприятия. Он также плотно ассоциируется с брендом компании, как визитка, логотип или что-либо подобное. Взломанный сайт — это удар по репутации и имиджу компании. Например, в крупных компаниях, которые котируются на бирже, появление уязвимости вызывало колебание курса акций. Обстоятельства могут доходить даже до таких вещей.

Если все  закончилось таким же сюжетом, как  показано на этом слайде, можно сказать, все закончилось хорошо, потому что  мы знаем, что случились проблемы. Но есть много случаев, когда мы вообще не знаем, что у нас кто-то «ходит», забирает информацию. Приведу пример. В Москве проходила выставка по информационной безопасности. Через пару дней в соответствующих кругах стал распространяться 8-ми мегабайтный файл, который содержал всех, кто прошел через эту выставку. Там было несколько тысяч человек: около 5-8 тысяч с контактами, электронными адресами, должностями и названиями организаций. Замечательный документ. На вопрос: «Откуда?». Все отвечали: «С сайта этой выставки». Ее организаторы честно всех регистрировали с помощью сайта. Все было сделано, как положено. Никто не видел такой штуки (картинки), которая изображена на слайде. Никто не знал, что с сайтом что-то случилось. Позже я расскажу еще несколько историй из работы нашего отдела, который занимается аудитом безопасности.

Слайд «Потенциальные угрозы». Я бы хотел разделить  категории угроз. Неправильно будет  говорить, что основная проблема —  это приложения. Можно сказать, что  безопасность — это информационная среда: операционная система, веб-сервер, среда программирования, база данных. Это то, что не зависит от веб-приложения, то, что есть у хостера, то, что садминистрировано и во многом работает в установленном порядке. Взлом системы управления корпоративным сайтом, то есть системы управления проектом, непосредственно веб-приложения, может стать одной из проблем, одной из угроз, также как и взлом сторонних веб-приложений. Под сторонним веб-приложением подразумевается, например, поставленный вами дополнительный веб-форум или какой-нибудь блок, оторванная составляющая, необъединенная единой архитектурой, которая стала проблемой. Если есть некий комплекс, нужно, чтобы все работало в целом. Самое слабое звено в трех составляющих, показанных на слайде, может привести к тому, что вы получите неудовлетворительный результат.

На этом слайде разделены основные риски: минимальный, средний, высокий. В результате, возможна компрометация, получение какой-то конфиденциальной информации. Итогом может быть полная потеря над ресурсом, когда на некоторых хостингах, сайтах, больших проектах «гоняются» за хакерами, хотя зачастую их квалификация не очень высока. Перед вами показан далеко не полный перечень уязвимостей. Я даже не буду перечислять те или иные проблемы. Типов атак очень много. Я бы сказал, что на этом слайде все касается психологии. Психология разработчика и того, кто ломает — это абсолютно разная идеология мышления. Когда у нас еще не было штатных специалистов, и занимались привлечением сторонних специалистов по защите систем, один из них говорил: «Я не могу неделю начать работать, думать над бизнес-приложением. Я пишу код и понимаю, что думаю над тем, как он может быть взломан». Совершенно разная идеология мышления. Совершенно разные способы использования кода и информации.

На слайде «Безопасность  веб-проектов» выделяются основные моменты, связанные с составляющими. Я буду говорить про систему управления и сторонние веб-приложения. Был  реальный случай. К нам обратился  клиент, у которого было 18 проектов. Каждый проект исторически писался, как приходилось. На каждом была система управления контентом, где-то был форум, интернет-магазин, где-то статистика собрана из веб-частей, где-то блок «подкручен», где-то еще что-то. На каждую из частей был свой пароль. Этой системой заведовало несколько человек, но никто не мог сказать про ее целостность. Это характерная ситуация развития в современной компании, которая активно присутствует в Интернете. Я мог бы привести массу примеров компаний, которые известны и у всех на слуху, у которых отличные Интернет-проекты. Но шаг за шагом и год за годом системы, не обладая целостностью, развиваются и представляют собой запчасти, которые собраны и не объединены интерфейсом, авторизацией и какими-то другими моментами. Это очень серьезная проблема. Для этого человека, который к нам обратился, она вылилась в следующую фразу, которую я до сих пор вспоминаю: «Я согласен на любой кластер. Мне лишь бы, чтобы все в одном месте…». То есть он хочет, чтобы все можно было объединить и контролировать. Он считает, что это должна быть монстроидальная система, которая сможет объединить все и сделать таким же индивидуальным. Но это серьезная проблема. Приведу пример. IndependentMedia обладает 36 проектами. К моменту, когда мы с ними заключили контракт, они взяли многосайтовую редакцию и проект за проектом начали переводить на систему для того, чтобы получить единую систему управления, по той же самой причине — проекты неуправляемы, анализировать статистику неэффективно, не говоря уже о едином рекламном пространстве и других моментах. Как защитить сайт? Я, наверное, никогда не скажу, что существует абсолютная защита. По определению это невозможно. Нельзя написать программу без ошибок. Нельзя исправить последнюю ошибку. Нельзя найти все проблемы безопасности. Здесь, скорее, речь идет о том, что и компания-разработчик, и компания-потребитель должны понимать проблемы и думать о них до того, как они появятся. Мы говорим о том, чтобы затраченные нами усилия так высоко подняли стоимость взлома, чтобы это стало экономически нерентабельным. Наши аудиты, два штатных сотрудника, все, что мы предпринимаем сегодня, в первую очередь направлено на то, чтобы увеличить стоимость получения какого бы ни было доступа. Мы стараемся поднять планку и научить наших партнеров, разработчиков, как увеличить эту планку, как заботиться об информационной среде и как заниматься общей безопасностью. Я уже несколько раз упоминал независимый аудит информационной безопасности у сторонних компаний. Ситуация в этом вопросе, прямо скажем, не лучшая. Обратиться и найти конкурентные предложения на рынке очень тяжело. Есть определенная причина: нет спроса на подобные вещи. В лучшем случае удается найти penetration-тест. Его можно купить за, приблизительно, 5 тысяч долларов. Можно заказать попытку взлома вашего интернет-проекта. Вам дадут соответствующее заключение и получат тот или иной доступ. Системный аудит продукта заказать очень тяжело. Когда мы пробовали сделать подобный заказ, мы обошли всех, кто есть на этом рынке. Мы смогли найти общий язык только с «Позитив технологией», но об этом я скажу позже. На фоне этого слайда мне хотелось бы рассказать следующее. Мы пришли к выводу, что нам нужны свои штатные сотрудники. Это было давно. Сначала мы взяли одного штатного специалиста с очень высокой квалификацией, который до этого занимался коммерческими взломами. Сейчас у нас работает два человека в штате — это специальный отдел по веб-безопасности. Примерно 6 месяцев назад мы стали продавать услуги крупным коммерческим клиентам. У наших сотрудников есть обязательства: они выделяют, в среднем, около двух недель рабочего времени на аудит продукта. Все изменения в производственном цикле, которые выпускаются, обновления через сайт, update проходят через них и далее выходят наружу. Даже это не самое главное. Мы получаем запросы и оказываем услуги крупным коммерческим клиентам по аудиту их систем. Не всегда на «Битриксе», но чаще всего. Так, получается, что мы с ними контактируем. Статистика работы этих шести месяцев удручающая. Не буду называть клиентов, хотя очень красивые и звучные имена, но ситуация была печальная, особенно по инфосреде. По продуктам мы подняли планку высоко, но первые же попытки аудита взлома среды приводили к тому, что нулевой доступ к системе получался от 2 до 30 часов, то есть получали рута. Я здесь не говорю о веб-приложениях. У сервера «Битрикса» оказался самый стойкий доступ к системе. Мы проводили свой аудит. У нас очень крепкий американский хостер. Он полностью администрировал. Мы его заранее предупредили, что будем готовиться. У нас уже раньше «были закручены гайки»: после того, как мы провели пресс-конференцию по безопасному веб-приложению с «Позитивом». С улицы сервер взломать не удалось. Мы пошли на уступку и предположили минимальную утечку информации, то есть мы завели для наших сотрудников пользователей с никакими правами, просто пользователей в системе. 30 часов — и они получили рута. Полный отчет с нашими рекомендациями отправлен хостеру. Все это применено к серверу, это была FreeBSD последней версии. Была ошибка конфигурирования конкретно данного сервера администратором. В ответ в заключении наш отдел написал: «Очень надежный сервер». Фактически за 6 месяцев работы 12 контрактов, по-моему, заканчивались стопроцентной победой. Это очень печально. У одного из наших заказчиков в результате аудита выявилось, что на почтовом сервере вся копия входящей и исходящей почты отправлялась на Gmail. Кто это сделал? Мы не можем ответить на этот вопрос. Надо было видеть глаза этого заказчика: «Мы же все это пересылали по обычной почте!» Это все в открытом варианте. Это все фактически так, как мы живем, доверяя электронике конфиденциальную информацию. Здесь у меня несколько слайдов. Я хотел бы рассказать, что мы делали внутри по продукту, чтобы «подтянуть гайки» и обезопаситься. В продукте много мест, на которые не всегда можно очевидно ответить. Например, все боты или все веб-формы содержат специальный SesID, который не относится ни к php, ни к чему-либо другому. Он представляет собой очень хитро смешанный идентификатор сайта, личные данные пользователя, время, дату модификаций и целый ряд других вещей. Это делается для конкретного типа атак, когда администратору подкладывают какие-то сайты, страницы, почту шлют и другое. Это экзотические вещи, но есть и обычные, банальные: не хранить имена и пароли пользователя в базе, замешивать их не просто на MD5, а на MD5 с уникальным идентификатором сайта и специальными случайными числами, характерными для проекта. Причем, его нужно подобрать не просто на MD5, а хотя бы два MD5, хотя бы с одним случайным числом, чтобы время перебора оказалось невероятно большим по сегодняшним характеристикам. Единая система авторизации, я бы сказал, одна из главных составляющих. Наша концепция это 95% всего, что нужно сайту. И это не случайно. Основная центральная система должна реализовывать все, в том числе и вопросы безопасности. Единый бюджет авторизации такая же составная часть системы, как и всё остальное. Независимость системы контроля доступа от бизнес-логики страниц очень важная составляющая, особенно, с точки зрения Framework. Предоставляя систему и позволяя разработчикам опираться на нее, мы ставим перед собой задачу сделать ее такой, чтобы не нужно было обязательно включать или выключать те или иные возможности и делать проверку, была авторизация или нет. Продукт спроектирован так, что включение, например, верха и низа обеспечивает принудительное включение всей системы безопасности. Разработчик не может ошибиться. Если он применил дизайн к продукту, он не может не включить систему авторизации, потому что она работает независимо. Здесь, на конференции, в офисе у всех открытWi-Fi. Поднимите руки те, у кого доступ к почте сделан через шифрацию! Немного людей подняли руки. А у кого доступ к сайту через SSL-сертификат? На самом деле, такие сайты и проекты уже есть. Но я объективно могу сказать, что их немного. Мы забираем почту в открытом виде, передавая имя и пароль. Заходим и авторизуемся в административных разделах наших сайтов, причем здесь же, на конференции, не удосуживаясь проверить, что бы то ни было. На банальные устройства, pocket, ставят Linux. На них работают sniffer. От нашей безопасности приехали в офис, когда меня и наших ребят не было. Пароль в московском офисе никто сказать не мог. Когда я пришел, они сидели и работали. Спросил, что такое. Они сказали, что надо ставить VPS-2, потому что этот VPS легко ломается. Мы все обновили, конечно. Я, наверное, стал параноиком. Но ко всему, что я на сегодня знаю, я отношусь далеко не скептически.